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(§) Verfahren zurn gesicherten Datentransport 

® Eswird ein Verfahren beschrieben mit dem mansicher- 
heitsrelevante Daten uber em ungesiehertes Medium 
transportieren kann. Das Verfahren ist derart ausgelegt, 
dass nahezu alle statistischen und systematischen Fehler 
des gesamten Obertragungssystems keine negative Aus- 
wirkung auf die Sicherheit der Ubertragungsdaten haben. 
Durch das Verfahren wird ein Empfanger einer Nachricht 
in die Lage versetzt, die empfangene Dateninformation 
auf Richtigkeit zu uberprufen und da mit aflle moglichen 
FehlerfallewahrendderObertragung zu erkennen. Sofern 
der Empfanger eine Fehler (oder mehrere Fehler) erkennt, 
kann er die Dateninformation erneut anfordern oder in ei- 
ner geeigneten Art und Weise reagieren. 



o 
o> 

in 

CO 

o 



UJ 

O 



BUNDESDRUCKEREI 08.02 102 390/11/1 



10 



DE 100 65 

1 

Beschreibung 

[0001] Die Ubertragung sicherheitsrelevanter Daten hat in 
den letzten Jahren erheblich an Bedeutung zugenommen. 
Dies ist insbesondere dadurch gekommen, dass elektroni- 5 
sche Verfahren nach und nach mechanische oder elektrome- 
chanische Sicherheitseinrichtungen ersetzen. Diese moder- 
nen elektronischen Verfahren bringen dabei einen erheblich 
verbesserten Sicherheitsanteil mit sich und erhohen gleich- 
falls den Komfort der betrefFenden Maschine oder Anlage. 10 
[0002] Die elektronischen Sicherungsverfahren verwen- 
den dabei nicht selten Bussysteme, die Daten von Sensoren, 
Aktoren und Steuerungseinrichtungen iibertragen. Fur alle 
sicherheitsrelevanten Applikationen ist es dabei unbedingt 
notwendig, dass alle Daten ohne irgend eine Verfalschung 15 
zeitgerecht transportiert werden. Jede Verfalschung kann 
eine fehlerhafte Funktion zur Folge haben, die in letzter 
Konsequenz das Leben und die Gesundheit von Personen 
gefahrdet 

[0003] Um dieser Anforderung gerecht zu werden, hat es 20 
in den letzten Jahren zahlreiche Vereinbarungen gegeben, 
die einen nahezu fehlerfreien Datentransport beim Einsatz 
von Bussystemen fordem. Nicht zuletzt sind in den interna- 
tionalen Normen Festlegungen getroffen worden, wie man 
Daten zu transportieren hat und welcher Restfehler noch er- 25 
traglich ist. Die zulassige Restfehlerwahrscheinlichkeit ori- 
entiert sich dabei an der Anwendung, die eventuell eine Ge- 
fahr fur die Person darstellt (siehe DIN V VDE 0801, EN 
954-1 oder IEC 61508). 

[0004] Entsprechend dieser Vereinbarungen und Normen 30 
sind sicherheitsgerichtete Bussysteme entwickelt worden, 
die Daten mit hoher Redundanz iibertragen. Mogliche Feh- 
ler werden rechtzeitig entdeckt und eine Gefahrdung kann 
abgewendet werden (Beispiele: Safety Bus P, Profibus F, In- 
terims Safety, u. a.). 35 
[0005] Mit dem Einsatz der vorher genannten sicherheits- 
gerichteten Bussysteme entstehen fur den Anwender jedoch 
einige Nachteile, die oftmals nicht in Kauf genommen wer- 
den konnen. So mussen eventuell bereits installierte Bussy- 
steme durch die Sicherheitsbusse ersetzt werden. Zusatzlich 40 
bringen nahezu alle Sicherheitsbussysteme spezielle Ein- 
schrankungen bei der Anzahl der Teilnehmer, bei der Daten- 
transportrate oder beim Datenprotokoll mit sich. 
[0006] Das in dieser Erfindung vorgeschlagene Verfahren 
verwendet eine vollkommen andere Technik. Es ist derart 45 
ausgelegt, dass man sicherheitsrelevante Daten auch iiber 
normale Bussysteme transportieren kann, ohne einen fatalen 
Fehler in Kauf nehmen zu mussen. 

[0007] Das Prinzip dieser Erfindung beruht darauf, dass 
man die Daten vor dem Versenden mit einer geeigneten 50 
Redundanz versieht, die den Empfanger in die Lage versetzt 
alle denkbaren Fehler mit absoluter Sicherheit zu erkennen. 
Dieses gilt nicht nur fur statistische Fehler (wie Storungen, 
elektrische Einfliisse, usw.) sondern auch fur alle systemati- 
schen Fehler (wie z. B.: Falscher Aufbau bestimmter Struk- 55 
turen in der Hardware oder Programmierfehler) im Obertra- 
gungsmedium bzw. den Interface-Einheiten. Der Einsatz si- 
cherheitsgerichteter Bussysteme ist damit nicht mehr not- 
wendig. 

[0008] Wie die Fig. 1 zeigt, stellt die Applikation auf der 60 
Sensor-Seite eine Information zur Verfugung (1). Es geht 
nun darum, diese Information sicher zu einem Empfanger 
(z. B.: zu einem Aktor zu iibertragen). Das hier gewahlte 
Beispiel kann auf alle anderen Obertragungseinheiten um- 
gesetzt werden (z. B.: Speicherprograrnmierbare Steuerun- 65 
gen, Oberwachungseinheiten, intelligente Lichtgitter oder 
Antriebe). Es hangt von der Art der Applikation ab, ob die 
Dateninformation von der Applikationsseite (1) zweikanalig 
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zur Verfugung steht Dieser Teil ist insbesondere nicht Be- 
standteil der Erfindung und daher nur zum besseren Ver- 
standnis eingezeichnet. Die Applikationsseite versorgt 2 
vollkommen unabhangige Mikroprozessoren oder ahnkche 
Einheiten (z. B.: FPGAs) (2, 3) mit den relevanten Sicher- 
heitsdaten der Peripherie (1). Beide Mikroprozessoren (2, 3) 
bereiten diese Daten unabhangig auf, so dass sie als Trans- 
port-Grofle iiber den Bus verschickt werden konnen. Neben 
der reinen Dateninformation fugen beide Mikroprozessoren 
(2, 3) eine hochwertige Redundanz hinzu. Diese Redundanz 
garantiert eine hohe Hamming-Distanz. Jede spatere Verfal- 
schung von einem Datum oder mehreren Daten in jedem der 
beiden Transport-Blocks wird dadurch mit hoher Sicherheit 
erkannt. 

[0009] Vor dem eigentlichen ' Datentransport tauschen 
beide Mikroprozessoren (2, 3) ihre Daten inklusive der red- 
undanten Information aus und vergleichen diese gegenseitig 
auf iibereinstimmung (4). Sofern beide zum gleichen Er- 
gebnis gelangt sind, ubergibt jeder der Mikroprozessoren 
seinen Ubertragungsdaten einem Zwischenregister (8). Das 
Zwischenregister besteht damit aus den beiden Bestandtei- 
len (9) und (10), die von den beiden Mikroprozessoren mit- 
tels eines Datentransfers (5, 6) erzeugt werden. 
[0010] Dieses Zwischenregister kann auch Bestandteil ei- 
nes der Mikroprozessoren sein (z. B.: ein internes Register 
des Mikroprozessors (2)). In diesem Fall erzeugt der Mikro- 
prozessor (2) beide getrennten Bestandteile nach der Ab- 
stimmung mit dem Mikroprozessor (3). Zur Kontrolle liest 
der zweite Mikroprozessor (3) das Zwischenregister (8) mit 
den beiden Bestandteilen (9) und (10) nochmals aus (gestri- 
chelter Pfeil (7)). Je nach Applikation kann der Dateninhalt 
eines der beiden Bestandteile (9) und (10) des Zwischenre- 
gisters (8) auch invertierte Daten oder andere zusatzliche 
Verschachtelungen aufweisen. Das Zwischenregister (8) 
kann auch ein Bestandteil der nachfolgenden Interface-Ein- 
heit (11) sein. Der konkrete Aufbau hangt dabei von der be- 
nutzten Technologie ab. 

[0011] Das Zwischenregister (8) stellt damit den eigentli- 
chen Kern der Erfindung dar. Es enthalt zwei logisch identi- 
sche Datenbereiche (9) und (10), die ihrerseits bereits redun- 
dante Daten zur Fehlererkennung enthalten. Das Zwischen- 
register (8) stellt in der Summe seines Dateninhalts ein 
hochredundantes System dar, das auch bei mehrfacher Ver- 
falschung sofort jeden moglichen Fehler sichtbar machen 
kann. 

[0012] Vom Zwischenregister gelangt die gesamte Daten- 
information iiber das Interface (11) zum Bussystem (12). 
Das Interface (U) besteht in der Regel aus mehreren logi- 
schen Funktionen, die je nach Anwendung durch Hard- oder 
Software realisiert sind. Das Bussystem (12) kann sowohl 
aus einem parallelen oder seriellen Bussystem bestehen, 
welches die Daten ubertragt. In der Fig, 1 ist das Beispiel ei- 
nes seriellen Bussystems gewahlt, wie es z. B. beim Profi- 
bus oder beim Ethernet bekannt ist. 

[0013] ttber das Bussystem (12) nimmt nun das Datenpa- 
ket entsprechend der Datenstruktur nach der Zuordnung des 
Zwischenregisters (8) seinen Weg. Hier kann das Datenpa- 
ket durch Verstarker, Switches, Gateways, Bridges oder an- 
dere Einrichtungen verfalscht werden (13). Zusatzlich be- 
steht die Moglichkeit, dass die Daten wahrend des Trans- 
ports durch auBere Einwirkungen (14) verfalscht werden. 
Freilich kann auch das Interface (U) selbst Fehler aufwei- 
sen oder erzeugen. Diese Einwirkungen konnen elektroma- 
gnetische Einflusse oder sonstige statisdsche Einwirkungen 
sein. 

[0014] Auf der Empfangsseite wird das Datenpaket von 
dem Interface (15) des Empfangers entgegengenommen und 
wieder vollstandig in einem Zwischenregister (16) abgelegt 
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Hier gelangen die beiden Datenbereiche (9) und (10) der 
Senderseite in die Datenbereiche (17) und (18) des Zwi- 
schenregisters (16). 

[0015] Die beiden Mikroprozessoren (19) und (20) neh- 
men jeweils das fiir sie bestimmte Datenpaket (17 fur Mi- 5 
kroprozessor 19) und (18 fur Mikroprozessor 20) entgegen. 
Beide Mikroprozessoren (19, 20) uberpriifen das jeweilige 
Datenpaket auf Richtigkeit, indem sie die Redundanz des je- 
weiligen Datenpakets untersuchen. Sofem beide Mikropro- 
zessoren (19, 20) die Richtigkeit Uberpruft haben, verglei- 10 
chen sie die Dateninhalte direkt (21). Bei emeuter Oberein- 
stimmung konnen die Mikroprozessoren (19, 20) die reinen 
Nutzdaten (ohne die Redundanz) an die Peripherie (z. B. an 
einen Aktor) weitergeben. 

[0016] Das Verfahren zeigt eine besonders groBe Immuni- 15 
tat gegenuber Storungen. Dabei spielt es keine Rolle, ob die 
Storungen systematische Natur (z. B. wie bei 13) oder stati- 
stischer Natur (z. B. wie bei 14) sind. Die Wirkung des Ver- 
fahrens beruht darauf, dass der Inhalt des Zwischenregisters 
(8) bei absolut richtiger Ubertragung in das Zwischenregi- 20 
ster (16) kopiert wird (23). Das Hinzufugen einer Redun- 
danz fur die beiden Datenbereiche (9) und (10), sowie die 
Verdoppiung mit gegenseitigem Vergleich auf der Sende- 
(4) als auch auf der Empfangsseite (21) erlaubt es, jeden 
denkbaren Fehler zu erkennen. Fiir eine reale Implementie- 25 
rung sollte die Redundanz allerdings hinreichend hoch ge- 
wahlt werden. Wenn man beispielweise jeden der Datenbe- 
reiche mit einer Hamming-Distanz von 4 versieht, entsteht 
ein gesamter Datenblock mit einer Hamming-Distanz von 8. 
Es ist ebenfalls angeraten, zusatzliche MaBnahmen bei der 30 
Datenerzeugung zu unternehmen, die Ausfalle im System 
selbst erkennen. Zu diesen MaBnahmen gehort beispiel- 
weise das Hinzufugen einer laufenden Nummer oder das 
Versenden von Adress-Informationen, sowie die Implemen- 
tierung einer Zeiterwartung bei alien Empfangern. Eine 35 
Struktur in dieser Form lasst sich kaum durch irgendwelche 
Einwirkungen derart verandern, dass mogliche Fehler uner- 
kannt bleiben. 

[0017] Mit dieser Erfindung besteht im Prinzip die Mog- 
lichkeit, sicherheitsrelevante Daten iiber beliebige unsichere 40 
Medien zu ubertragen, ohne dass die geforderter Sicherheit 
verloren geht. Fiir reelle Applikationen ergibt sich damit der 
entscheidende Vorteil, dass alle an der Dateniibertragung be- 
teiligten Einrichtungen weder besonders fur die Sicherheits- 
technik auszulegen sind, noch einer Uberprufung auf Feh- 45 
lerfreiheit unterzogen werden niussen. 



mit redundanten Daten versehen, diese gemeinsam und 
gegenseitig uberpriifen (4) und dann die redundanten 
Daten iiber einen Datentransfer (5, 6) in Teilbereiche 
(9, 10) des Zwischenregisters (8) ablegen. 

3. Verfahren nach den Anspriichen 1 und 2, dadurch 
gekennzeichnet, dass die Empfangsseite ebenfalls ein 
Zwischenregister zur Verfugung stellt (16), das eben- 
falls 2 Teilbereiche enthalt (17, 18), die von den Mikro- 
prozessoren (19, 20) ausgelesen werden, auf ihre Giil- 
tigkeit kontrolliert und dann in ihrem Dateninhalt ge- 
genseitig ausgetauscht werden (21), damit nicht nur die 
Gultigkeit, sondern auch die tatsachliche Ubereinstim- 
mung der Information gewahrleistet wird. 

4. Verfahren nach den Anspriichen 1 bis 3, dadurch ge- 
kennzeichnet, dass durch den speziellen Datentransfer 
mit der Hinzufugung von Redundanz eine direkte Ko- 
pie des Inhalts eines Zwischenregisters (8) von der 
Senderseite auf die Empfangerseite (16) entsteht. 

5. Verfahren nach den Anspriichen 1 bis 4, dadurch ge- 
kennzeichnet, dass eine Information von einer Sender- 
seite (1), z. B.: einem Sensor oder einer Steuerung 
ohne Verlust an Sicherheit an den Ausgang (22) eines 
Empfangers z. B.: einem Aktor gelangt, auch wenn sy- 
stematische (13) oder statistische (14) Verfalschungen 
vorliegen. 

6. Verfahren, nach den Anspriichen 1 bis 5, dadurch 
gekennzeichnet, dass die gesicherte Dateniibertragung 
auch bei beliebigen Netzwerkinstallationen oder Inter- 
face- Einheiten (11, 15) erfolgen kann, ohne dass diese 
besonderen MaBnahmen zur Fehlerreduzierung unter- 
zogen wurden. 

Hierzu 1 Seite(n) Zeichnungen 



Patentanspriiche 

1. Verfahren zum gesicherten Datentransport fiir die 50 
Datenubertragung an parallelen oder seriellen Netz- 
werken oder Bussystemen (12), dadurch gekenn- 
zeichnet, dass ein Zwischenregister (8) verwendet 
wird, das hochredundante Daten enthalt, dessen Inhalt 
iiber nahezu beliebige, auch unsichere Medien mit sta- 55 
tistischen (14) oder systematischen Fehleranteilen (13), 
transportiert werden kann, ohne dass ein Verlust der Si- 
cherheit entsteht, und der Inhalt des Zwischenregisters 
(8) auf der Senderseite auf ein Zwischenregister (16) 
der Empfangsseite kopiert wird (23), derart, dass iiber 60 
ein spezielles Verfahren mit redundanten Mikroprozes- 
soren (2, 3, 19, 20) nahezu jeder Fehler aufgedeckt 
werden kann. 

2. Verfahren nach dem Anspruch 1, dadurch gekenn- 
zeichnet, das der Inhalt des Zwischenregisters (8) auf 65 
der Senderseite durch 2 unabhangige Mikroprozesso- 
ren (2, 3) oder ahnliche Einrichtungen erzeugt wird, die 
eine von der Peripherie kommende EingangsgroBe (1) 
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